Studiuesit e Proofpoint kanë identifikuar një malware të ri, të quajtur ZenRAT, i cili shpërndahet nëpërmjet instaluesve të rremë të Bitwarden, një menaxher i njohur i fjalëkalimeve. Kriminelët e panjohur kibernetikë përpiqen të mashtrojnë përdoruesit e Windows me një faqe të ngjashme me atë legjitime. Malware mund të mbledhë të dhëna të ndryshme nga kompjuteri juaj, duke përfshirë kredencialet e hyrjes.
ZenRAT i fshehur në versionin e rremë të Bitwarden
Studiuesit e provave nuk kanë zbuluar se si viktimat që nuk dyshojnë përfundojnë në faqen e rreme. Ky lloj kërcënimi zakonisht përdor phishing ose helmim SEO. Dizajni i faqes është i ngjashëm me atë origjinal, por URL-ja është bitwariden.com, në vend të bitwarden.com. Faqja e shkarkimit u shfaqet vetëm përdoruesve të Windows.
Duke klikuar në butonin shkarkohet skedari Bitwarden-Installer-version-2023-7-1.exe i vendosur në një faqe tjetër. Kur ekzekutohet, instaluesi kopjon veten në drejtorinë C:\Users\[username]\Appdata\Local\Temp dhe krijon një skedar me shtesën .cmd. Ky i fundit funksionon automatikisht dhe fshin veten dhe instaluesin.
Një skedar tjetër, i quajtur ApplicationRuntimeMonitor.exe, kopjohet në drejtorinë C:\Users\[username]\AppData\Roaming\Runtime Monitor\ dhe ekzekutohet. Ky është ZenRAT, një trojan i qasjes në distancë me funksionalitetin e vjedhjes së informacionit.
Duke përdorur pyetjet WMI dhe mjete të tjera të sistemit, malware mbledh informacione të ndryshme, duke përfshirë versionin e Windows, llojin e instaluar RAM, CPU dhe GPU, aplikacionet e instaluara, adresat IP dhe portat, si dhe fjalëkalimet e ruajtura në shfletues. Të dhënat më pas shtohen në një arkiv ZIP dhe dërgohen në serverin C2 (komandë dhe kontroll).
Malware gjithashtu kontrollon nëse një makinë virtuale ose sandbox po funksionon në kompjuterin tuaj për të penguar analizën e studiuesve. ZenRAT është modular, kështu që mund të shtohen më shumë veçori në versionet e ardhshme.
Discussion about this post